A Lei Geral de Proteção de Dados (LGPD) começa a vigorar nos próximos dias, se não houver veto ou alguma ressalva por parte do Poder Executivo. Agora, há um pequeno detalhe a ser considerado: as Sanções Administrativas da LGPD, entrarão em vigor apenas em agosto de 2021.
Considerando que as Sanções Administrativas entram em vigor em agosto 2021, será que as entidades que tratam (coletam, utilizam, processam, transferem, guardam e/ou apagam) Dados Pessoais (DP) podem relaxar até agosto do ano que vem? A resposta é Não.
É certo que até agora as Sanções Administrativas contra Pessoas Jurídicas da LGPD não se aplicariam em caso de algum tipo de não conformidade, mas uma entidade que trata DPs poderia ser processada por parte de um ou vários indivíduos.
Imagine esta cena: Um indivíduo, vamos chama-lo de cliente, teve interesse em comprar um apartamento oferecido por um empreendimento imobiliário. Ele preencheu o formulário de cadastro fornecido pela corretora responsável; só que ao final, ele não comprou o apartamento. Posteriormente, durante vários anos, ele vem recebendo ofertas por e-mail e ligações de várias corretoras; alguns para oferecer novos lançamentos e outros para apenas vender apartamentos usados.
Algumas Perguntas: Além da corretora que coletou os DPs do possível cliente, como as outras tiveram ciência do interesse dele em comprar um apartamento? Quem forneceu os Dados Cadastrais do cliente para as outras corretoras? Será que você, leitor, já vivenciou alguma situação semelhante?
Agora com a LGPD, todo indivíduo tem direito de exigir de qualquer entidade brasileira que coletou seus DPs as seguintes informações:
- Onde seus DPs estão armazenados?
- Quem tem acesso aos DPs?
- Para quem foram transferidos os DPs?
- Para que estão sendo utilizados os DPs?
Também o indivíduo pode:
- Solicitar atualização ou corrigir os Dados Cadastrais;
- Solicitar a eliminação dos Dados Cadastrais;
- Outorgar ou Negar consentimento em caso de possuir DPs Sensíveis ou se o controlador não tem base legal para o uso dos dados;
Salvo algumas exceções legais, se a corretora que coletou os DPs, não tem a capacidade de atender aos requerimentos do cliente, esta poderia ficar em grandes apuros legais. Multipliquem este problema pelo número de clientes que a corretora tem na sua base de dados.
No entanto, devido à crise provocada pela pandemia de COVID-19 que estamos vivendo, implementar um Super Programa de Proteção de Dados Pessoais poderia custar uma fortuna para muitos e em consequência seria inviável. Na minha opinião o melhor caminho é começar com o mais básico e depois ir incrementado os controles aos poucos. Quais deveriam ser os primeiros passos para uma empresa que não tem nada implantado (Kick-off)?
- Mapear os riscos focados na LGPD: nesta primeira etapa, a empresa precisa:
- Verificar se a empresa coleta DPs e avaliar o nível de sensibilidade;
- Definir a funcionalidade dos DPs Coletados;
- Entender qual é o fluxo dessa informação: guarda, se é encaminhada a terceiros ou ferramentas, etc.
- Definir medidas para diminuir o risco de vazamento da informação.
- Criar uma Governança: basicamente, consiste em formalizar uma estrutura interna de quem são os membros que se encarregarão de:
- Atuar como ponto focal frente a entidades regulatórias (neste caso, a ANPD: Autoridade Nacional de Proteção de Dados);
- Definir responsáveis no nível Jurídico, Tecnológico e Controles internos;
- Criação de Políticas e Procedimentos de Controle.
- Definir um Plano de Monitoramento e controles Internos.
- Criar um Plano de Treinamento e Comunicação: este último item é um dos mais importantes. Não adianta ter uma série de políticas e processos no papel sem ter fornecido conhecimento apropriado a cada um dos colaboradores internos e externos. Neste sentido, o Plano deverá definir:
- Treinamento para todos os colaboradores da empresa e externos;
- Alinhamento com fornecedores e terceiros por meio de SLA´s (Service Level Agreements) ou contrato de serviços;
- Definição de Canais de Comunicação e Informação para os indivíduos que forneceram DPs para a empresa.
É certo que poderiam existir eventos de vazamento de informação por falta de Tecnologia e Infraestrutura; isto é um risco latente que todo empresário deve pensar em investir a médio prazo. Porém, acredito que na primeira etapa, as empresas devem focar em riscos de vazamento de informação, por meio de eventos mais fáceis de acontecer, por exemplo: impressão de telas, envio de e-mails, furto de uma bolsa com um pendrive não criptografado, etc. Acredito que começando com estas primeiras ações, o empresário conseguiria mitigar fortemente os riscos numa primeira etapa.
Lembra do caso da corretora que vazou os Dados Cadastrais dos seus clientes? Provavelmente a corretora poderia ter diminuído seus riscos se tivesse pelo menos feito algumas das atividades básicas como fornecer treinamento a seus funcionários para evitar vazamento da informação.
Vocês se surpreenderão, mas na minha experiência, já descobri que muitas vezes o funcionário não sabe o que é correto e o que é incorreto.